第3章管理活动目录域Word下载.doc
《第3章管理活动目录域Word下载.doc》由会员分享,可在线阅读,更多相关《第3章管理活动目录域Word下载.doc(50页珍藏版)》请在冰点文库上搜索。
用户也能够通过活动目录方便迅速的找到所需要的资源、使用所需要的功能。
活动目录的容量可以动态调整;
活动目录的结构可以动态调整。
3.1.2活动目录的特点
动态的组织形式
方便的资源查找
集中管理与分散管理相结合
资源访问的分级管理
3.1.3活动目录的基本概念
1、对象和属性
在活动目录中,存储着众多的资源、规则、策略等,它们被称作“活动目录对象”,简称对象。
一个活动目录对象所具有的各种各样的特征,称为“属性”。
一个对象可认为是一系列属性的集合。
2、活动目录的架构
活动目录中所有对象和属性的定义存储在“活动目录架构”中,只有SchemaAdmins组的成员才有权限添加或修改架构中的内容。
一个活动目录共享一个共同的架构。
查看活动目录架构的具体步骤为
1、以SchemaAdmins组的一个用户账户身份登录
2、注册ActiveDirectorySchema控制面板的动态链接库。
在命令窗口中输入:
regsvr32.exeschmmgmt.dll.
3、在命令窗口中运行“mmc.exe”,添加“ActiveDirectory架构”管理工具。
4-6、在“ActiveDirectory架构”中有两个容器,类与属性,双击User,即可查看User类的定义,根据User类的定义可以创建大量的用户账户。
最后在保存控制台。
3.2活动目录的逻辑结构
在活动目录中,管理员可以完全忽略被管理对象的具体地理位置,将这些对象按照一定的方式放置在不同的容器中。
由于这种组织对象的做法不考虑被管理对象的具体地理位置,因此得到的组织框架称作“逻辑结构”。
一个活动目录的完整逻辑结构称为“域森林”,一个域森林由若干“域树”组成,一个域树有若干“域”组成。
3.2.1域
1、域的定义
在活动目录中,域是一种重要的逻辑管理单元,代表了一个独立的安全范围,能包含大量对象的一种容器。
2、域中计算机的角色
有域控制器、成员服务器、工作站。
域控制器是存放活动目录数据库的,是域中必须要有的。
其它两种则不是必须的。
所以最简单的域将只包含一台计算机,这台计算机是该域的域控制器。
3、计算机账户
每台计算机都有一个账户来标识自己,这个账户称为“计算机账户”。
在Computers容器内
4、域用户账户
管理员在域的活动目录数据库中创建的用户账户称为域用户账户。
默认时,所有的域用户账户均放置在UserS容器中,域管理员可以在此创建和管理域用户账户。
5、组织单位
为了对域中对象做进一步的组织和管理,还可以在域中创建一种新的容器——组织单位。
(1)组织单位的含义:
特点
l组织单位是一种容器类的活动目录对象;
l组织单位只能在域内创建,并且只能包含域内的对象。
l在组织单位内还可以继续创建组织单位。
l一个域中组织单位的结构与另一个域组织单位的结构无关。
l组织单位不仅能容纳对象,还可以对其施加管理策略和安全规则
(2)组织单位的用途
可以把域中一部分具有相同管理要求的活动目录对象分离出来,既可以对它们进行单独的管理又可以提高效率。
(3)组织单位和组账号的区别
组账户通常只能包含用户账户和组账户,组织单位中不仅可以包含这些,还可以包含计算机账号、打印机、共享文件夹等很多活动目录对象。
创建组账户的主要目的是为用户账户分配资源访问权限,但是管理员不能直接对组账户指定管理策略,也就是不能直接控制组账户中各对象的更复杂的行为。
当删除一个组账户时,其包含的用户账户并不会被删除。
但删除一个组织单位时,其包含的所有活动目录对象都将随之删除。
(4)组织单位和其他活动目录容器的区别
图标有所不同
普通容器仅起到把一些活动目录对象组织在一起的作用,管理员不能对其设置组策略。
在组策略中只能看到组织单位而看不到普通容器,这说明只能对组织单位设置组策略而不能对普通容器设置组策略。
在上图中右击“DefaultDomainControllers Pllicy”组策略对象,然后在快捷菜单中选择编辑。
可以看到各种组策略。
3.2.2域树
1、域树的含义
若干域组成的集合称为“域树”。
2、信任关系
单向信任与双向信任
不可传递的信任与可传递的信任
3、域树的结构
域树中,各域之间利用双向的、可传递的信任关系联系在一起。
第一个域称为父域,各分部的域称为该域的子域。
4、域树的特点
3.2.3域森林
若干个域树的组合称为“域森林”
3.3活动目录的物理结构
3.3.1域控制器
从物理的角度观察活动目录时而得到的组织框架,称为活动目录的物理结构。
活动目录的物理结构为:
域控制器与站点。
活动目录的物理结构中,最基本的单元就是域控制器。
在此基础上,域控制器又被放入不同的站点中。
3.3.2站点
所谓站点时若干个利用快速链路连接在一起的局域网的组合。
在一个站点中,所有局域网均通过快速链路连接在一起。
3.4全局编录
一个完整的活动目录数据库实际上被分割成若干部分而存放在各个域控制器中。
在这种情况下,域用户虽然可以很方便地从本域的域控制器那里差找到本域的对象,但是却无法从中找到其他域的对象。
为了解决这种跨域查找问题,活动目录提供了全局编录。
全局编录存储着活动目录中所有域的全部对象,但是仅存储了这些对象的部分能被搜索的属性信息。
一个森林共享一个全局编录。
3.5活动目录的功能级别
域的功能级别
森林的功能级别
3.6创建活动目录
一个完整的活动目录对应着一个森林,因此创建活动目录即意味着创建一个森林。
创建森林应从创建第一颗树开始,另外一棵树又有若干个域组成,因此创建第一颗树应从创建树根域(森林根域,而最简单的域中只有一台计算机(域控制器),因此创建域应从创建域控制器开始。
创建森林的步骤:
l创建森林根域
l在森林根域的下面添加子域,形成第一个树。
l在森林根域的下面创建第二个树根域,形成第二课树。
l在森林根域的下面创建第三个树根域,形成第三棵树。
3.6.1创建森林根域
在WindowsServer2008R2上安装活动目录,将其设置为此域的第一台域控制器
1、创建域的准备工作
lDNS域名
lDNS服务器
lNTFS分区
2、安装第一台域控制器
以管理员的身份登陆,然后使用以下两种方式登陆。
单击屏幕左下角的服务器管理器图标,如下图。
单击开始——运行,输入dcpromo.exe后,单击确定。
3、检查域的建立是否正常
l检查DNS服务器(检查域控制器是否已到DNS服务器那里注册了自己的IP地址和服务记录)
l检查活动目录数据库文件和SYSVOL文件夹。
l检查新添加的活动目录管理工具。
4、提升域与森林的功能级别
方法为:
开始——管理工具——ActiveDirectory域和信任关系。
右击ActiveDirectory域和信任关系,在快捷菜单中选中提升林功能级别。
5、添加额外的域控制器(图略)
多台域控制器具有容错、负载平衡的优点。
6、将Windows计算机加入域或脱离域
(1)将Windows计算机加入域
(2)在域中计算机上登陆
在域中计算机上登陆的方式有两种:
“登陆到域”和“登陆到计算机”。
其中,用户在域控制器上只能选择“登陆到域”;
在成员服务器和工作站上可以选择“登陆到域”或“登陆到计算机”。
(3)、脱离域
操作者必须是Enterprise组、DomainAdmins组的成员或本地管理员才有权将此计算机脱离域。
7、在域成员计算机上安装活动目录管理工具
8、删除域控制器和域
如果在域控制器上删除了活动目录,那么它就会降级为本域的成员服务器或者降级为本工作组中的独立服务器。
如果删除了域中最后一台域控制器,那么该域将不复存在。
3.6.2创建域树
此节将介绍在森林根域下面创建子域从而形成一颗具有多域的域树
3.6.3创建森林的第二颗域树
此节介绍的在森林中创建第二颗域树。
1、在DNS服务器上创建第二颗域树的DNS区域
在这里我们让森林根域T中的DNS服务器既维护第一颗域树的信息又维护第二颗域树的信息。
为此,一方面需要在DNS服务器上创建名为的DNS区域;
另一方面还要把第二颗域树中所有域的所有计算机的DNS服务器地址均指向计算机的IP地址,以便它们自动向其注册自己的信息。
2、创建第二颗域树
与前面创建域树类似
3.7管理域用户账户
在域的活动目录数据库中,管理员可以为每个用户创建一个用户账户。
由于这种账户只存在于域中,所以称为“域用户账户”。
3.7.1内置的域用户账户
Administrator和Guest
3.7.2创建域用户账户
操作步骤如下
3.7.3使用域用户账户登录到域
1、允许普通域用户账户在域控制器上登录到域
为了允许普通域用户账户可以再域控制器上登录到域,需要设置允许在本地登录。
开始——管理工具——组策略管理,在右击defaultdomainpolice,选中编辑
3、添加UPN后缀
开始——管理工具—ActiveDircetory域和信任关系,在右击ActiveDircetory域和信任关系——属性。
3.7.4设置域用户账户的个人信息
3.7.5限制域用户账户的登录时间、登录地点
在上图中选择登录时间或登录到,即可以设置只能在特定的时间或特定的计算机上登录到域
3.7.7禁用、启用域用户账户
8.8管理域组账户
3.8.1域组账户概述
管理员可以再域的活动目录数据库中创建组账户。
由于这种组账户只存在于域中,所以称为“域组账户”。
与本地组账户不同,一个域组账户能够对域用户账户进行组织,而且能够为其分配访问域中任何计算机的资源访问权限和权利。
3.8.2域组账户的类型
在WindowsServer2008R2域中,组账户分为两种类型:
安全组和通信组。
安全组:
管理员可以为安全组分配权限和权利。
通信组:
管理员不能为安全组分配权限和权利
3.8.3域组账户的使用范围
对于安全组而言,还可以根据使用范围的不同,将其分为三种:
全局组、本地域组和通用组。
在全局中,只能够包含所在域中的域用户账户和全局组。
在本地域组中,能够包含森林中任何域的域用户账户、全局组和本域的本地域组。
3.8.4内置的域组账户
3.8.5创建全局组与本地域组
开始——管理工具——ActiveDirectory用户和计算机
3.8.7向组中添加成员
3.8.10域组账户的使用原则
建议按照以下原则使用组,即“A-G-DL-P”,其中A代表用户账户,G代表全局组,DL代表本地域组,P代表权限。
使用这种组的嵌套原则分配权限有以下好处:
由于给组而不是给每个用户账户分配权限,所以大大减少了权限的分配次数。
只要打开这个本地域组就能够根据全局组的名称判断这些用户所在的公司部门。
如果不希望某个部门的某个用户访问这个共享文件夹,只要从那个部门所对应的全局组中删掉这个用户账户即可。
如果不希望某个部门访问这个共享文件夹,则只要从本地域组中删掉这个部门所对应的全局组即可。